Who is the LAPSUS$ group?

O grupo LAPSUS$ é um coletivo informal de agentes de ameaças - ao contrário de uma empresa de crimes cibernéticos grande e bem organizada como a Conti - e não está associado a nenhum grupo ou filosofia política específica. Seus membros são considerados pouco profissionais. No entanto, o LAPSUS$ demonstra que mesmo um grupo pequeno e desorganizado de agentes de ameaças pode realizar uma campanha de crime cibernético capaz de comprometer empresas globais.

What is LAPSUS$ ransomware?

O ransomware LAPSUS$ difere de outros métodos de ataque baseados em resgate de alto perfil; o grupo LAPSUS$ usa técnicas tecnicamente não sofisticadas e tenta coagir os alvos a pagar o resgate ameaçando liberar dados confidenciais roubados. O ransomware LAPSUS$ emprega engenharia social e credenciais roubadas para obter acesso não autorizado a contas válidas de RDP, VPN ou serviços em nuvem.

Quem é a Lapsus$?

Quem é o Grupo LAPSUS$?

O grupo LAPSUS$ (referido como DEV-0357 pela Microsoft) é um coletivo informal de agentes de ameaças não associado a nenhum grupo político ou filosofia específica. A máxima "nenhuma honra entre ladrões" se aplica aos membros do LAPSUS$: eles demonstraram não ser profissionais, mesmo para os padrões de gangues de ransomware, ao não honrarem suas promessas de destruir os dados roubados. Eles também fazem pouco esforço para cobrir seus rastros ou ofuscar suas técnicas.

No entanto, mesmo um grupo pequeno, caótico e não sofisticado de agentes de ameaças pode comprometer grandes empresas de tecnologia e extorquir grandes somas de dinheiro. Acredita-se que o LAPSUS$ seja de origem sul-americana, com muitos outros membros de Portugal e da América Latina, embora as fileiras do LAPSUS$ se estendam por todo o mundo.

O LAPSUS$ mantém um perfil público e se comunica regularmente via Telegram e e-mails. Talvez devido à sua natureza aberta ou à falta de uma estratégia técnica eficaz para se ocultarem, o Serviço de Polícia Metropolitana de Londres executou uma operação estratégica de captura de sete indivíduos com idades entre 16 e 21 anos que se acreditava serem membros da LAPSUS$ em março de 2022. Apenas dois indivíduos detidos acabaram sendo acusados, com três acusações de acesso não autorizado a um computador com a intenção de prejudicar a confiabilidade dos dados, uma acusação de fraude por falsa representação e uma acusação de acesso não autorizado a um computador com a intenção de impedir o acesso aos dados. Ironicamente, um grupo por trás de um site de "doxxing" - revelando publicamente informações pessoais ou confidenciais sobre um indivíduo ou organização - forneceu informações que acabaram levando a essas prisões, em retaliação à divulgação de suas informações públicas. No entanto, as prisões não afetaram significativamente as operações do LAPSUS$; o grupo continua a explorar e divulgar publicamente os dados de suas vítimas.

Últimas notícias da LAPSUS$

Lapsus$: Tribunal conclui que adolescentes realizaram uma onda de hackers
A Uber vincula a violação ao grupo LAPSUS$ e culpa a empresa contratada pela invasão (BleepingComputer)
Prisões feitas em relação à gangue cibernética LAPSUS$ (Security Intelligence)
Alerta de ameaça: LAPSUS$ - Ameaça real ou ameaça menor? (BlackBerry Blog)

O que é o ransomware LAPSUS$?

O ransomware LAPSUS$ difere de outras linhagens de ataques baseados em ransomware de alto perfil, como Conti, REvil e LockBit. Enquanto a maioria dos ataques de ransomware emprega malware sofisticado para criptografar arquivos, os ataques do LAPSUS$ envolvem ameaças simples de publicação de dados roubados para coagir os pagamentos, renunciando completamente ao malware tradicional.

O LAPSUS$ obtém acesso aos sistemas-alvo por meio de credenciais roubadas para serviços de área de trabalho remota (RDP), VPN ou serviços em nuvem, como o Microsoft Office 365, e, em seguida, rouba dados confidenciais. Embora os membros da LAPSUS$ possam não implantar malware para atingir seus objetivos, eles importam ferramentas de software de hacking para os sistemas que acessam e estendem manualmente seu acesso inicial pela rede para identificar dados de alto valor e exfiltrá-los.

Como funcionam os ataques do LAPSUS$

A LAPSUS$ não usa um modelo de afiliado para operar um ransomware como serviço (RaaS) para obter acesso inicial; em vez disso, os membros gerenciam as violações do início ao fim. Seus ataques geralmente empregam técnicas de hacking de baixa tecnologia, como engenharia social - phishing, spear-phishing e, principalmente, vishing - e descoberta de credenciais expostas publicamente para obter acesso inicial a contas válidas de aplicativos de nuvem, VPN ou área de trabalho remota (RDP). O LAPSUS$ também é conhecido por usar outras técnicas, como troca de SIM, trabalho com ameaças internas e compra de credenciais na Dark Web.

As táticas de segundo estágio do LAPSUS$ envolvem exfiltração de dados e extorsão pública, exigindo compensação financeira para impedir a liberação dos dados roubados. Isso é diferente das estratégias usadas por outras gangues de ransomware de alto perfil, que geralmente implantam malware avançado para extorsão dupla - exigindo pagamento para descriptografar arquivos e impedir a liberação de dados confidenciais.

Para o movimento lateral, o LAPSUS$ explora vulnerabilidades de segurança conhecidas em aplicativos como JIRA, Confluence e GitLab na rede de destino e, em seguida, tenta extrair credenciais incorporadas em repositórios de código-fonte e usar ferramentas de exploração do Windows, como AD Explorer, DCsync e Mimikatz. O LAPSUS$ também se baseia no malware Redline infostealer como uma tática de segundo estágio para descobrir credenciais para outros sistemas na rede e estender sua base inicial lateralmente para encontrar dados confidenciais.

Táticas, técnicas e procedimentos comuns do LAPSUS$ (TT&P)

Engenharia social, roubo de credenciais e localização de credenciais expostas publicamente por meio de pesquisa on-line
Obtenção de acesso não autorizado a contas válidas por meio de credenciais roubadas
Ataques de troca de SIM (também conhecidos como SIM splitting, Smishing, SIMjacking e SIM swapping) para acessar o e-mail da vítima para redefinir senhas de contas e ignorar a autenticação multifator
Abusar das contas de e-mail pessoais das vítimas para obter informações e credenciais pessoais
Provedor de serviços gerenciados (MSP) e comprometimento de aplicativos em nuvem com credenciais roubadas
Pagamento de funcionários, fornecedores ou parceiros de negócios corruptos de organizações-alvo por credenciais e tokens MFA
Exfiltração de dados para servidores controlados pelo LAPSUS$
Extorsão de vítimas para evitar a liberação de dados roubados

Como se proteger contra LAPSUS$

Para combater a capacidade do LAPSUS$ de aproveitar credenciais roubadas, implemente uma autenticação rigorosa de vários fatores e uma solução avançada de segurança Zero Trust para evitar o uso não autorizado dos recursos da empresa.

Devido à diversidade e à natureza ad-hoc das técnicas do LAPSUS$, nenhum conjunto único de estratégias defensivas ou mitigações poderia combater totalmente a abordagem ofensiva do LAPSUS$. A prevenção eficaz de um ataque bem-sucedido depende de uma abordagem abrangente da segurança cibernética da empresa. Os princípios básicos de segurança de TI, como Defesa em Profundidade, acesso com privilégios mínimos, Prevenção de Perda de Dados, monitoramento 24x7x365, gerenciamento de vulnerabilidades, programas de red-teaming e melhoria contínua das defesas de rede são partes essenciais de um programa de segurança cibernética empresarial.

O CylanceGATEWAY evita ataques de engenharia social

O Zero Trust Network Access (ZTNA) pode evitar ataques de engenharia social. O ^{CylanceGATEWAY™} protege sua rede antes que um agente de ameaça possa obter acesso e começar a se mover lateralmente por ela.

SAIBA MAIS